01、加密威胁的发展趋势

恶意加密流量、基于加密通信的攻击行为,近几年越来越多的行业客户开始关注,国内外的安全厂商、研究机构也纷纷入场开始研究、探索检测方案和产品化应用。实际上这类加密威胁不是一种新型的威胁,也谈不上未知威胁。

加密威胁的发展历史,通过我们的研究总结起来可以归纳为三个阶段:

一是早期顶级APT组织的应用。我们目前跟踪到最早使用加密通信技术的恶意家族,大概是20年前左右的某APT组织,并且加密的技巧较为复杂,这种加密技术放在当前,也能绕过绝大多数流量安全产品。

二是部分威胁逐步应用。从我们研究分析的情况来看,至少在10年前就有一批APT组织、攻击组织开始逐步转向加密通信,不过这个阶段的加密通信大多没有经过精密设计,还比较粗糙。

三是大规模威胁的应用。从近三年来看,由于流量安全检测、大数据分析等技术的发展,基于明文通信的恶意流量越来越难逃监管,大量的威胁都开始逐步转向加密通信,除了顶级APT组织,实力弱一些的APT组织也基本转向加密通信;二是一些僵尸网络、勒索软件和常见木马病毒,也开始逐步使用加密通信;三是大量攻防工具、黑客工具也纷纷支持加密通信,在攻防演练场景下,使用加密通信进行隐蔽传输也成了常态。

02、加密威胁的常见类别

使用加密通信来进行隐蔽传输,已成为大多数黑客的“必备技能”,跟攻击者的加密技术、开发能力、使用习惯相关,加密的类别和方式也是千变万化。我们分析了超过300种恶意家族、30个APT家族、近百款黑客工具,总结下来常见的加密威胁有两大类、四小类。

一是使用已有的标准加密协议,其中最常见的是TLS/SSL。对于攻击者来讲,使用SSL加密通信有几个好处:1、最常见的加密应用协议,开发或调用都非常便利;2、SSL协议在绝大多数用户网络中都是占比较高的通信协议,隐藏在其中很难被发现;3、SSL协议的应用复杂、变化较多,想寻求一种好的检测方法比较难。故SSL加密受到广大黑客、APT组织的青睐,目前来看使用SSL加密的占到整个使用加密通信的恶意流量的50%左右。当然,还有使用一些其它标准加密协议通信的恶意家族,但数量还比较少。

二是使用标准通信协议,改变其协议字段或载荷部分成为“隐蔽隧道”。隐蔽隧道又分加密和不加密两种,目前转向加密的隧道越来越多。常见的隐蔽隧道又分为三小类:1、网络层隧道,以ICMP隧道为主;ICMP协议在日常的通信应用中数据格式比较简单、变化较少,攻击者开发也有一定的技术门槛,所以目前应用不是特别广泛,有少量的APT组织和黑客工具在使用;2、传输层隧道,以TCP/UDP隧道为主,还有少量的SCTP隧道;TCP/UDP隧道目前应用已经比较广泛,已经占到整个使用加密通信的恶意流量的25%左右,并且我们判断未来一定会成为APT攻击和高水平黑客的常用通信方式之一;之所以TCP/UDP隧道受到攻击者的青睐,是因为这类隧道应用变化比较复杂,可以较好地隐藏在大量新型网络应用的流量之中;3、应用层隧道,以DNS/HTTP隧道为主。DNS隧道目前有一部分APT组织和黑客工具一直在使用,但因其检测难度相对不高,所以应用比例相对较低;HTTP隧道是某些黑客组织甚至是顶级APT组织常用的一种隐蔽传输方式,因HTTP协议的应用广泛、且变化复杂,所以在大量HTTP流量中如何精准确认是隧道,是比较难的一件事情。

03、加密威胁的应对策略思考

综上,攻击者想要利用和建立隐蔽加密隧道,可选择的方式比较多,且开发或直接利用的难度都不大。关于加密威胁检测到底有没有必要性呢?答案是肯定的,目前很多监管客户、行业客户都意识到了这一点,并且基本成了日常安全运营管理中最棘手的一个难题。国内外近几年开展加密威胁检测研究的机构和厂商也比较多,成了网络安全研究的一个热门课题,在国内开展这方面研究的机构和厂商就不低于50家。当然,绝大部分研究成果还停留在实验室阶段,我们总结下来,大家容易进入的误区有如下几个:

一是脱离威胁的研究和认知。任何安全解决方案脱离对威胁的认知、分析和跟踪,都是站不住脚的;如果不知道哪些威胁在加密、怎么加密的、加密的变化演进历程,研究的解决方案一定是纸上谈兵、无法实战化应用的。

二是过度依赖AI算法。很多研究人员过度依赖AI,以为传统机器学习或者深度学习就能较好地解决加密威胁检测的难题,最后都是落不了地,从我们的研究来看,AI确实有一定辅助作用,但仅仅是辅助作用,可以作为一个异常判断的基线。

三是摒弃传统的检测方法。很多人认为传统的规则检测、行为分析、威胁情报就不适用于加密流量了,其实不然,传统的检测方法固然很难体系化解决加密流量的难题,但很多方法是可以用,并且可以组合应用。

对于加密威胁检测的应对策略,我们总结下来有以下几点可以分享的经验:

一是多种解决方案应对不同的加密威胁。如上所述,威胁加密的方式很多、千变万化,没有一种算法、引擎可以包治百病,必须针对不同的加密类型、甚至不同的家族研究不同的解决方案。

二是多种检测技术相融合。想要体系化或者解决更多加密威胁的问题,单纯依靠某一类技术都比较难,比如我们的解决方案里,既用到了机器学习、深度学习、规则检测、行为分析,还开发了独特的“可计算检测引擎”以应对加密流量检测所需要的复杂规则组合。

三是紧跟威胁研究和演进。单纯的依靠实验室算法和参考论文,永远无法落地,如果深度分析了大量的威胁,了解其加密的机制和模式,很多问题就迎刃而解。四是实战化落地。安全解决方案要讲实战化应用,无法进行实战的产品和解决方案对客户来讲就毫无意义,也只有实战化应用了,才知道现网中加密流量的复杂性、才知道哪些加密威胁我们真正有效检出了。

04、加密威胁的演进预测

综上所述,基于加密通信的威胁检测固然是一个比较难的课题,但只要对威胁有足够深的理解和认识,综合多种技术方法,绝大多数都能找到解决方案。不过还存在多种加密威胁,并且很有可能是未来威胁加密化的演进趋势,需要不断的攻研才能找到较好的应对方案。

一是构思精密的加密方式设计。目前跟踪的少量顶级威胁在加密环节设计极其精密,具备较强的密码基础和工程化能力,是当前高级威胁对抗的难题之一。

二是大量的加密中转利用。目前有部分威胁利用公有云、社交软件、加密邮件等进行中转通信,这种加密应用给检测研究带来了极大挑战,也是威胁加密化的趋势之一。

三是利用各类协议建立的加密隧道。我们观察到近几年利用TCP/UDP/HTTP等协议加密隧道的威胁越来越多(理论上任何协议的上层都可以构建加密隧道),已成为高级威胁选择的一个必然趋势之一。

四是TLS1.3的普及和应用。目前TLS1.3还未全面普及,所以威胁选用这种版本的不多,但一旦TLS1.3全面普及,一定会成为大量威胁选择隐蔽通信的方式之一,届时又会带来新的挑战。